ÖKO Europe x Eidos Capital
Atelier architecture
Présentation équipe projet

La cible se construit
par gates,
pas par grand soir technique.

Atelier équipe projet : portail métier, habilitations Google Workspace, workflows n8n et RAG QMD sécurisé.

Objectif : partir du terrain, créer le contexte statique, puis architecturer le serveur sans brûler les étapes.

atelier.boot
INITIALISATION ATELIER

[1] garder Shopify stable          OK
[2] utiliser Google Workspace      OK
[3] recueillir SOP terrain         20 JUILLET → DÉBUT AOÛT
[4] créer contexte statique        AVANT AUTOMATISATION
[5] cadrer serveur + Cloudron      À VALIDER
[6] contrôler avant n8n            NON NÉGOCIABLE
[7] cloisonner les RAG             À DIMENSIONNER

         TERRAIN
           |
           v
   [SOP + irritants + workflows]
           |
           v
   [CONTEXTE STATIQUE OKO]
           |
           v
   [SERVEUR + PORTAIL + HARNAIS]
01 / 30
Objectif
Réunion de cadrage
Pourquoi on se réunit

Transformer une vision en architecture construisible.

Cette présentation sert à aligner la direction, l'équipe projet et l'IT sur les choix techniques à prendre avant de construire. Le terrain vient avant le serveur.

1

Comprendre

Clarifier la cible de bout en bout, sans jargon inutile.

2

Recueillir

Lister les SOP métier, irritants, entrées, sorties et workflows candidats.

3

Décider

Valider les briques du pilote et les points bloquants.

4

Architecturer

Passer du contexte statique au serveur, au portail et aux automatisations.

02 / 30
Déjà acté
Base commune
Socle de discussion

Les décisions déjà solides évitent de confondre cadrage terrain et construction technique.

Shopify reste cœur

Commandes, paiements et ventes restent stables pendant le pilote.

Pas de chat libre pour tous

Les métiers commencent par des boutons, formulaires et SOP guidées.

Contexte d'abord

SOP, fiches, règles, droits et sources utiles avant toute automatisation.

Serveur ensuite

Le portail, n8n et les RAG viennent après le recueil des workflows prioritaires.

03 / 30
Hors périmètre
Rassurer l'IT
Limites au départ

La sécurité commence par ce qui reste fermé.

Le pilote doit prouver la valeur sans ouvrir des droits trop larges ni automatiser des décisions sensibles.

not-now.rules
HORS PÉRIMÈTRE PILOTE

NO  chat libre généralisé
NO  n8n ouvert aux métiers
NO  RAG global non filtré
NO  lecture de mails collègues
NO  modification Shopify automatique
NO  remboursement automatique
NO  données marges dans workflows terrain

YES lecture contrôlée
YES brouillons à valider
YES logs complets
YES droits révoquables
04 / 30
Règle mère
Droits effectifs
Non négociable

Un workflow ne doit jamais exploiter plus de données que l'utilisateur et le cas d'usage ne l'autorisent.

rights.formula
DROITS EFFECTIFS

UTILISATEUR  ∩  WORKFLOW  ∩  DONNÉE

= ce que le système peut réellement utiliser

Même si Jan a accès à tout, un workflow SAV ne doit pas injecter les marges ou les investisseurs dans une réponse client.

05 / 30
Scénario terrain
Exemple utilisateur
Une journée dans le système

Sonia ne pilote pas l'IA. Elle lance une action métier.

Ce scénario peut être SAV, commercial, compta ou logistique. Le principe reste identique : login, droits, bouton, résultat, validation.

Bonjour Sonia

Service : exemple métier

Connectée Google
Préparer une réponse
Résumer un dossier
Voir les points bloqués
Demander une automatisation
08:42 - Brouillon généré, validation requise
08:12 - Rapport quotidien consulté
Hier - Demande workflow envoyée
06 / 30
Terrain
Adoption
Interface métier

Le terrain doit voir des résultats, pas des composants techniques.

Un seul login

Connexion via Google Workspace, sans nouveau compte à mémoriser.

Des boutons métier

Préparer, résumer, alerter, classer, demander.

Des résultats validables

Brouillons, rapports, listes d'actions et sources utilisées.

Zéro n8n

Les salariés ne manipulent pas les workflows.

Zéro choix modèle

Le routage IA est défini par l'équipe projet.

Zéro Obsidian imposé

Obsidian reste outil direction, IT ou équipe projet si utile.

07 / 30
Équipe projet
Ce qu'elle contrôle
Back-office du système

L'équipe projet pilote le harnais, pas les métiers.

Elle transforme les SOP terrain en automatisations contrôlées, observe les logs et améliore les workflows.

Workflows

Création, test, versioning, suspension.

Prompts et skills

Réécriture, garde-fous, format des sorties.

RAG et sources

Périmètres documentaires et index autorisés.

Logs et coûts

Suivi des erreurs, modèles, tokens et validations.

08 / 30
Pourquoi ce découpage
Simplicité + contrôle
La bonne séparation

Une interface simple devant, une gouvernance stricte derrière.

Si l'architecture est claire pour l'IT mais confuse pour le terrain, elle ne sera pas adoptée. Si elle est simple pour le terrain mais floue pour l'IT, elle devient dangereuse.

split.model
CÔTÉ TERRAIN
  portail
  boutons
  formulaires
  résultat à valider

------------------------------

CÔTÉ PROJET / IT
  droits
  webhooks signés
  workflows n8n
  RAG autorisés
  routage modèles
  logs et audit
09 / 30
Architecture globale
End-to-end
Vue d'ensemble

Tout commence par le terrain et l'identité, pas par l'IA.

Le serveur ne doit pas improviser. Il exécute seulement des workflows issus des SOP recueillies, dans les droits Google et les sources autorisées.

Avant

Recueil SOP, règles métier, sources utiles, risques et validations.

Après

Portail, gateway, n8n, QMD, IA gateway, logs et amélioration.

oko.architecture.full
TERRAIN OKO
  SOP / irritants / tâches répétitives
        |
        v
CONTEXTE STATIQUE
  procédures + règles + fiches + sources
        |
        v
GOOGLE WORKSPACE
  identité + groupes + révocation
        |
        v
PORTAIL MÉTIER
  boutons + formulaires + résultats
        |
        v
GATEWAY D'HABILITATION
  utilisateur ∩ workflow ∩ donnée
        |
        v
n8n
  API + webhooks + orchestration
        |
        +--> Shopify [lecture]
        +--> Gmail autorisé
        +--> QMD / RAG autorisé
        +--> Modèle IA routé
        |
        v
BROUILLON / RAPPORT / ALERTE
  humain valide + log complet
10 / 30
8 briques
Socle technique
Composants

Chaque brique a un rôle précis. Aucune ne doit tout faire.

La pédagogie à donner à l'IT : Cloudron héberge, Google identifie, le portail guide, la gateway autorise, n8n exécute, QMD cherche, l'IA produit, les logs prouvent.

Terrain

Portail + boutons + demandes d'automatisation.

Projet / IT

Cloudron + n8n + RAG + logs + gouvernance.

layers.stack
+----------------------------------+
|  8. LOGS / AUDIT / COÛTS        |
+----------------------------------+
|  7. IA GATEWAY                  |
|     modèles + clés + routage     |
+----------------------------------+
|  6. QMD / RAG CLOISONNÉS        |
+----------------------------------+
|  5. n8n                         |
|     workflows + connecteurs      |
+----------------------------------+
|  4. GATEWAY D'HABILITATION      |
+----------------------------------+
|  3. PORTAIL MÉTIER              |
+----------------------------------+
|  2. CLOUDRON / APPS             |
+----------------------------------+
|  1. GOOGLE WORKSPACE            |
|     identité + groupes           |
+----------------------------------+
11 / 30
Cloudron
Socle applicatif
Rôle exact

Cloudron administre les applications, pas toute la logique métier.

C'est un accélérateur d'exploitation : installer, mettre à jour, sécuriser et sauvegarder les apps du serveur.

Cloudron gèreÀ garder ailleurs
Domaines et SSLDroits fins workflows
Installation n8n, NocoDB, GiteaRAG autorisés par rôle
Backups applicatifsAccès boîtes mail
Groupes d'accès aux appsModèles IA par cas d'usage
Mises à jourValidation humaine métier
12 / 30
Question 1
Cloudron
Décision à prendre

Valide-t-on Cloudron comme socle applicatif du pilote ?

L'alternative est une installation manuelle ou Docker compose administré par l'IT. Cloudron accélère, mais impose son cadre.

La décision doit être explicite avant installation serveur.

13 / 30
Mémoire et automation
Séparation saine
Structure serveur

Le contexte métier et le code d'exécution doivent rester séparés.

Le cerveau conserve la connaissance. Le harnais exécute. Les secrets restent isolés.

oko.storage
/oko-memory/
  1_METIERS/
  2_SOCIETE/
  3_CLIENTS/
  4_PRODUITS/
  5_PROCESS/
  6_GARDEN/

/oko-automation/
  workflows/
  prompts/
  skills/
  schemas/
  model-routing/
  audit-logs/
  credentials/   [isolé]
14 / 30
Sources de vérité
Pas d'ERP parallèle
Clarification IT

La mémoire OKO enrichit le SI existant. Elle ne remplace pas ses sources opérationnelles.

Le contexte statique OKO sert de couche de compréhension : SOP, fiches, synthèses, historiques utiles. Il ne devient pas la base officielle des ventes ou paiements.

C'est essentiel : le pilote commence en lecture et préparation, pas en mutation automatique du SI.

truth.sources
SOURCES DE VÉRITÉ

Shopify
  commandes / paiements / produits vendus
        |
        | lecture contrôlée
        v
Mémoire OKO
  synthèses / SOP / dossiers reconstruits
        ^
        | contexte statique
        |
Google Workspace
  identité / groupes / mails / Drive

RÈGLE PILOTE
  préparer et expliquer : YES
  modifier la source : NO
15 / 30
Google Workspace
Identité
Le login devient la base des droits

Compte Google = identité. Groupes Google = rôles.

La révocation doit partir de Google Workspace : couper un compte ou un groupe coupe l'accès portail, workflows, mails et RAG associés.

identity.flow
portal.oko.fr
    |
    v
Connexion Google
    |
    v
email = sonia@oko.fr
groupes = oko-service-x
    |
    v
rôle portail
workflows visibles
RAG autorisés
boîtes mail accessibles
16 / 30
Question 2
Groupes Google
Décision à prendre

Quels groupes Google faut-il créer pour le pilote ?

Les groupes doivent être assez fins pour protéger, mais pas tellement nombreux qu'ils deviennent ingérables.

Le pilote peut démarrer avec peu de groupes, puis affiner.

17 / 30
Mails
Personnel vs service
Point sensible

Le login doit empêcher la requête des boîtes collègues.

La règle : une boîte personnelle se lit avec le token OAuth de l'utilisateur connecté. Les boîtes de service se lisent selon les groupes Google.

mail.acl
UTILISATRICE : sonia@oko.fr
GROUPES      : oko-service-x

AUTORISÉ
  sonia@oko.fr       via OAuth Sonia
  service-x@oko.fr   via groupe Google

INTERDIT
  marc@oko.fr
  jan@oko.fr
  investisseurs@oko.fr

Le backend recalcule la liste.
Le formulaire ne choisit pas librement la mailbox.
18 / 30
n8n
Harnais
Exécution contrôlée

n8n exécute les workflows. Le portail décide qui peut les lancer.

Les métiers ne doivent pas accéder à n8n. Ils passent par le portail, puis une gateway appelle un webhook signé.

workflow.gateway
PORTAIL MÉTIER
   |
   |  identité + rôle + demande
   v
GATEWAY D'HABILITATION
   |
   |  payload signé serveur à serveur
   v
n8n WEBHOOK PRIVÉ
   |
   +-- API Shopify lecture
   +-- Gmail autorisé
   +-- QMD RAG autorisé
   +-- Modèle IA choisi
   v
RÉSULTAT + LOG + VALIDATION
19 / 30
SOP vers workflow
Modèle commun
Même logique pour chaque service

Une automatisation commence par une SOP observable.

On ne part pas d'une idée vague de workflow. On part d'une tâche réelle : entrée, étapes, outils, sortie, erreur possible, validation nécessaire.

À recueillir

Fréquence, temps perdu, outils, données, exceptions, décision humaine.

À produire

Fiche SOP, score de priorité, workflow candidat et niveau de risque.

sop.to.workflow
SOP MÉTIER OBSERVÉE
  "Tous les matins je fais..."
        |
        v
FICHE SOP
  entrée / étapes / outils / sortie
  exceptions / risques / validation
        |
        v
SCORING
  fréquence + gain + simplicité + risque
        |
        v
WORKFLOW CANDIDAT
  déclencheur + données + RAG + modèle
        |
        v
n8n PILOTE
  lecture seule + résultat validable
        |
        v
LOG + RETOUR TERRAIN
  garder / améliorer / arrêter
20 / 30
Question 3
Workflows pilotes
Décision ouverte

Quels premiers workflows tester en lecture seule ?

Le premier métier reste ouvert à discussion. Le critère : valeur visible, risque faible, données accessibles, validation humaine simple.

SAV est un bon exemple, mais la décision doit rester collective.

21 / 30
QMD
Recherche sémantique
RAG local Markdown

QMD permet de rechercher dans la mémoire OKO par sens, pas seulement par mots-clés.

Il est très adapté au pilote si les contenus sont en Markdown. Pour PDF, Word ou PowerPoint, on convertit d'abord avec MarkItDown ou Docling.

rag.pipeline
PDF / Word / Drive / Email
        |
        v
Conversion Markdown
        |
        v
/oko-memory/service-x/
        |
        v
qmd update
qmd embed
        |
        v
RAG service-x disponible
22 / 30
RAG séparés
Anti-fuite
Cloisonnement

Le pilote doit éviter le RAG global.

Un seul index global est plus simple sur le papier, mais dangereux si un filtre est oublié. Pour le pilote, on cloisonne par périmètre.

Un rôle peut ouvrir plusieurs RAG. Un workflow peut en limiter l'usage. L'intersection protège les réponses.

rag.acl.map
RAG SÉPARÉS

rag-service-pilote  -> SOP + cas métier
rag-produits        -> fiches + règles produit
rag-commercial      -> prospects + relances
rag-compta          -> factures + paiements
rag-direction       -> pilotage transverse
rag-strategique     -> marges / banque / investisseurs

UTILISATEUR
  groupes Google -> RAG autorisés

WORKFLOW
  besoin métier -> RAG nécessaires

RÈGLE
  RAG utilisés = rôle ∩ workflow
23 / 30
Rôles vers RAG
Matrice
Exemple à adapter

Direction peut voir large. Les workflows restent bornés.

RôleRAG possiblesRemarque
Service piloterag-service + rag-produitsSeulement ce qui aide le métier
Commercialrag-commercial + rag-produitsProspects, relances, historiques autorisés
Comptarag-comptaFactures, paiements, relances comptables
Directionrag-service, rag-commercial, rag-compta, rag-produits, rag-directionVision transverse
Roottous les RAG + rag-strategiqueJan / décision explicite
24 / 30
Question 4
RAG pilote
Décision à prendre

Quels RAG QMD créer pour le pilote ?

Le choix dépend du premier workflow, des données disponibles et du niveau de risque accepté.

Recommandation : peu de RAG au départ, très bien cloisonnés.

25 / 30
Menaces
Garde-fous
Ce qui peut mal tourner

Les risques sont gérables s'ils sont intégrés dans l'architecture.

RisqueGarde-fou
Fuite entre RAGIndex séparés + gateway + logs
Lecture boîte collègueOAuth utilisateur + recalcul serveur des mailbox autorisées
n8n exposé aux métiersPortail obligatoire + webhooks signés
Action Shopify trop tôtLecture seule + validation humaine
Coûts IA non suivisIA gateway + logs modèle et coût
Secrets dans le vaultCoffre + variables d'environnement + séparation automation
26 / 30
Logs
Audit
Traçabilité

Chaque exécution doit pouvoir être expliquée.

Les logs servent autant à l'audit qu'à l'amélioration continue : comprendre les erreurs, mesurer la valeur, surveiller les coûts.

audit.log
À LOGGER

qui
quoi
quand
workflow
boîtes consultées
RAG utilisés
sources injectées
modèle IA
coût estimé
résultat
validation humaine
erreur éventuelle
27 / 30
Gates
Progression contrôlée
Implémentation par seuils

La cible se construit pas à pas, pas par décisions génériques.

Gate 0

Terrain

20 juillet à début août : observer, interviewer, recueillir SOP et workflows candidats.

Gate 1

Prioriser

Scorer les cas : fréquence, gain, risque, données disponibles, validation humaine.

Gate 2

Contexte statique

Créer les fiches, règles, SOP, sources, arborescence et droits documentaires.

Gate 3

Socle serveur

VPS, Cloudron ou alternative, domaines, SSL, backups et monitoring.

Gate 4

Identité

Google SSO, groupes, rôles, révocation et boîtes de service.

Gate 5

Portail

Catalogue d'actions, formulaires, gateway d'habilitation et demandes d'automatisation.

Gate 6

Harnais

n8n, webhooks signés, connecteurs en lecture, logs et validation humaine.

Gate 7

RAG + pilote

QMD cloisonné, premier workflow, tests terrain et amélioration continue.

28 / 30
Roadmap
Grands jalons
Terrain → Architecture → Pilote

La venue terrain sert à capter les workflows avant de construire le serveur.

Du 20 juillet à début août, l'objectif n'est pas de vendre une solution figée. L'objectif est de comprendre les gestes métier, recueillir les SOP, puis architecturer le serveur sur les vrais besoins.

Les dates après début août sont indicatives et doivent être recalées avec OKO selon les arbitrages IT.

roadmap.major.milestones
20 JUILLET
  arrivée terrain / lancement cadrage
        |
        v
20 JUILLET -> DÉBUT AOÛT
  observation métiers
  interviews rapides
  recueil SOP répétitives
  inventaire workflows candidats
  cartographie outils / mails / droits
        |
        v
DÉBUT AOÛT
  synthèse des SOP
  scoring des workflows
  choix du ou des premiers pilotes
        |
        v
AOÛT - ARCHITECTURE
  socle serveur + Cloudron ou alternative
  Google Workspace / groupes / accès
  contexte statique OKO
        |
        v
SEPTEMBRE - MVP TECHNIQUE
  portail + gateway + n8n lecture seule
  premiers RAG QMD
  logs + validation humaine
        |
        v
PILOTE CONTRÔLÉ
  2 à 5 utilisateurs
  workflows validés
  retour terrain + itérations
29 / 30
Validation finale
Synthèse atelier
Dernière étape

Rassembler les décisions et les points bloquants.

La synthèse reste locale dans le navigateur. Elle peut être copiée puis collée dans une note de réunion, un mail ou le projet OKO.

Réponses sauvegardées localement dans ce navigateur.

30 / 30
01 / 30
Sauvegardé